“EternalBlue” é o nome de um exploit desenvolvido pela NSA para uma vulnerabilidade no SMBv1 que estava presente em todos os sistemas operacionais Windows entre o Windows 95 e o Windows 10. O Server Message Block versão 1, ou SMBv1, é um protocolo de comunicação usado para compartilhar o acesso a arquivos, impressoras e portas seriais na rede.
Dica: A NSA foi identificada anteriormente como um ator de ameaça do “Equation Group” antes que essa e outras explorações e atividades fossem vinculadas a ela.
A NSA identificou a vulnerabilidade no protocolo SMB pelo menos já em 2011. Sob sua estratégia de estocar vulnerabilidades para seu próprio uso, optou por não divulgá-las à Microsoft para que o problema pudesse ser corrigido. A NSA desenvolveu então um exploit para o problema, que chamou de EternalBlue. EternalBlue é capaz de conceder controle completo sobre um computador vulnerável, pois concede a execução de código arbitrário em nível de administrador sem a necessidade de interação do usuário.
The Shadow Brokers
Em algum ponto, antes de agosto de 2016, a NSA foi hackeada por um grupo que se autodenominava “The Shadow Brokers”, que se acredita ser um grupo de hackers patrocinado pelo estado russo. Os Shadow Brokers obtiveram acesso a uma grande coleção de dados e ferramentas de hacking. Inicialmente, eles tentaram leiloá-los e vendê-los por dinheiro, mas receberam poucos juros.
Dica: um “grupo de hackers patrocinado pelo estado” é um ou mais hackers que operam com o consentimento, apoio e orientação explícitos do governo ou para grupos cibernéticos oficiais ofensivos do governo. Qualquer uma das opções indica que os grupos são muito bem qualificados, direcionados e deliberados em suas ações.
Depois de entender que suas ferramentas estavam comprometidas, a NSA informou à Microsoft sobre os detalhes das vulnerabilidades para que um patch pudesse ser desenvolvido. Inicialmente programado para lançamento em fevereiro de 2017, o patch foi adiado para março para garantir que os problemas fossem corrigidos corretamente. No dia 14º de março de 2017, a Microsoft publicou as atualizações, com a vulnerabilidade EternalBlue sendo detalhada pelo boletim de segurança MS17-010, para Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 e Server 2016.
Um mês depois, no dia 14º de abril, The Shadow Brokers publicou o exploit, junto com dezenas de outros exploits e detalhes. Infelizmente, apesar dos patches estarem disponíveis por um mês antes da publicação das explorações, muitos sistemas não instalaram os patches e permaneceram vulneráveis.
Uso do EternalBlue
Pouco menos de um mês após a publicação das façanhas, no dia 12º de maio de 2017, o worm ransomware “Wannacry” foi lançado usando o exploit EternalBlue para se espalhar para o maior número de sistemas possível. No dia seguinte, a Microsoft lançou patches de segurança de emergência para as versões sem suporte do Windows: XP, 8 e Server 2003.
Dica: “Ransomware” é uma classe de malware que criptografa dispositivos infectados e, em seguida, mantém a chave de descriptografia para resgate, normalmente para Bitcoin ou outras criptomoedas. Um “worm” é uma classe de malware que se propaga automaticamente para outros computadores, em vez de exigir que os computadores sejam infectados individualmente.
De acordo com IBM X-Force o worm ransomware “Wannacry” foi responsável por mais de US $ 8 bilhões em danos em 150 países, embora a exploração funcionasse de forma confiável apenas no Windows 7 e no Server 2008. Em fevereiro de 2018, os pesquisadores de segurança modificaram com sucesso o exploit para poder funcionar de forma confiável em todas as versões do Windows desde o Windows 2000.
Em maio de 2019, a cidade americana de Baltimore foi atingida por um ataque cibernético utilizando o exploit EternalBlue. Vários especialistas em cibersegurança apontaram que essa situação era totalmente evitável, pois os patches estavam disponíveis por mais de dois anos nesse ponto, um período de tempo durante o qual, pelo menos, "Patches de segurança críticos" com "Explorações públicas" deveriam ter sido instalado.